}
abonneren

Heb je nu echt een Android-virusscanner nodig?

Hoe groot is het risico dat virussen je smartphone binnendringen? Moet je je toestel hier extra tegen beschermen? En heb je dan speciaal een Android-virusscanner nodig? In dit artikel ontrafelen we hardnekkige beveiligingsmythes.

Isolatie van apps

Een mooi kenmerk van Android en andere mobiele besturingssystemen is dat een app volledig geïsoleerd van de rest van het besturingssysteem kan werken in een zogenaamde sandbox. Android gebruikt daarvoor de gebruikers- en groepsrechten van de Linux-kernel. Een app kan daardoor niet bij gegevens van andere apps. Ook toegang tot bijvoorbeeld de camera of internet wordt zo afgeschermd. Dit heet Discretionary Access Control (dac).

Er zijn uiteraard voorzieningen waardoor apps gegevens kunnen uitwisselen, maar alleen binnen een bepaalde context. Een grote toevoeging op die gebruikersrechten is SELinux (Security-Enhanced Linux) dat sinds Android 5.0 steeds strikter wordt toegepast. Via regels kan nauwgezet worden bepaald wat wel en niet mag. Iedere actie wordt geblokkeerd tenzij er een regel is die het toestaat. Het heet ook wel Mandatory Access Control (mac).

Doordat het besturingssysteem steeds verder op slot gaat heeft zelfs een root-gebruiker geen vrij spel meer. SELinux waakt over alle processen, ook die van de root-gebruiker. Aanvallen richten zich hierdoor verhoudingsgewijs steeds minder op de zogenaamde userspace en juist meer op de kernel.

Kwaadaardige apps

Android is zelf een haast ondoordringbaar fort geworden. Apps kunnen nauwelijks schade aanbrengen aan het besturingssysteem zelf of andere apps. Helaas kan een kwaadaardige app wel zélf problemen opleveren. Een app kan zich bijvoorbeeld als ransomware voordoen met steeds terugkerend popup-scherm, terwijl na het opsporen van de app (vaak onder verhullende naam) en verwijderen niets meer aan de hand is.

Sommige malware probeert zoveel mogelijk advertenties op te dringen, bijvoorbeeld om je naar een frauduleuze website te dirigeren. Recent werd zelfs malafide code gevonden die videoadvertenties onzichtbaar achter andere banners liet draaien. Je merkt dat vooral aan het extra dataverkeer. Gevaarlijker zijn kwaadaardige apps die duur sms-verkeer veroorzaken of je inlog- en bankgegevens proberen te stelen. Zulke apps duiken regelmatig in de Play Store op. En altijd goed vermomd, bijvoorbeeld als alarmklok, fotobewerker, spelletje, qr-scanner of bestandsbeheerder.

Hengelen naar inloggegevens

Er is recent veel malware gevonden met nepschermen, gebruikmakend van de mogelijkheid om vensters boven andere apps weer geven (overlay). Talloze apps benutten deze mogelijkheid. De malware GM Bot, waarvan de broncode in 2014 (illegaal) werd verhandeld en later zelfs uitlekte en openbaar gemaakt, staat vaak model. GM Bot probeert bankgegevens te onderscheppen met nep-inlogschermen en het afvangen van sms-conversaties.

Een recenter voorbeeld is MobSTSPY dat in meerdere apps en games werd aangetroffen in ongeveer 196 landen, met een piek in India. De malware stuurt informatie over je locatie, belhistorie, sms-conversaties, afbeeldingen en andere bestanden door naar een server. De malware bevatte bovendien nep-inlogschermen van Facebook en Google om ook die gegevens te achterhalen, het zogenaamde phishing, via een keylogger die toetsaanslagen registreert. Dat onderstreept ook het belang van tweestapsverificatie.

Onder de radar

Hoewel Google de Play Store schoon probeert te houden blijven kwaadaardige vaak lang onder de radar. Vaak wordt kwaadaardige code versleuteld waarmee deze onzichtbaar is bij controles. Bij het bovengenoemde MobSTSPY werd de malware pas in een latere update toegevoegd zodat het de strengste controles kon omzeilen. Ook wordt kwaadaardige code vaak pas na een tijd actief, op een moment dat je zelf al lang vergeten bent dat je app hebt geïnstalleerd.

Verder kan een app proberen om de installatie van een andere (ongecontroleerde) app mét malware af te dwingen. Sommige kwaadaardige apps die werden teruggetrokken uit de Play Store waren al meer dan een miljoen keer geïnstalleerd. Play Protect, de malwarescanner van Google, kan de besmette apps vervolgens ook van die toestellen verwijderen, maar dat is vooral een lapmiddel. De malware heeft zijn werk dan vaak al gedaan. De feature kun je onder Instellingen / Beveiliging en locatie beheren. Let er op dat Play Protect niet op elk toestel standaard is ingeschakeld.

Betere malwarescanner?

Er zijn veel alternatieve malwarescanners beschikbaar in Google Play die ongeveer hetzelfde doen als Play Protect, maar meestal beter. De Consumentenbond testte onlangs 21 gratis en betaalde beveiligingsapps (€7 tot €40 per jaar) en concludeerde dat Play Protect slechts 56% van de 2.000 malafide apps blokkeert. De gemiddelde beveiligingsapp doet dat een stuk beter en blokkeert 89%.

Het gerenommeerde AV beproefde maar liefst 250 van degelijke malwarescanners en kwam tot ongeveer dezelfde conclusie: Play Protect detecteert 66,8% van de 2.614 samples.

Zeker 23 apps deden het beter en vonden alle malware-samples. Je moet wel goed opletten welke je installeert: de bescherming van veel malwarescanners is volgens AV ondermaats waarbij het enkele zelfs als waardeloos bestempelt omdat ze kennelijk alleen een voortgangsbalk laten zien. Ook geven sommige malwarescanners veel valse meldingen.

Zonder bescherming

In de praktijk kun je, zolang je voorzichtig bent, ook goed zonder malwarescanner. Controleer goed welke apps je installeert. Kies alleen apps van vertrouwde ontwikkelaars met een goede reputatie. Controleer bijvoorbeeld de website, contactinformatie en privacy-beleid.

Het aantal positieve reviews of downloads zegt eigenlijk vooral iets over de gebruikservaring en weinig over de veiligheid. Temeer omdat bots vaak voor nepdownloads- en reviews zorgen. Het is uiteraard ook nuttig te controleren welke machtigingen je aan een app verleent. Probeer te achterhalen waarom die machtigingen nodig zijn. Verwijder apps als je ze niet (meer) gebruikt of niet vertrouwt.

Geschreven door: Gertjan Groen op

Category: Nieuws, Security

Tags: Android, Malware

Laatste Vacatures

Uitgelicht: Technisch Applicatiebeheerder - CGI